我有一个非常简单的DotNetOpenAuth实现,适用于我的MVC4网站(仅适用于Google)。
问题是,如果我(1)使用Google登录我的网站,然后(2)退出Google,我仍然会在我的网站上进行身份验证。
这是设计的吗?我是OpenId的新手,所以我有点困惑。当然,如果用户退出Google会终止所有相关的OpenId会话,那么用户肯定会这样做吗?
答案 0 :(得分:2)
这是设计吗?
是
如果其他网站只是在用户退出gmail时改变其会话状态(在此示例中),则会对网站造成严重破坏。如果您执行需要来自会话的user_id的DB / SQL更新脚本的一半,并且突然之间它不存在,因为用户刚刚退出gmail帐户,该怎么办?你的脚本遍布整个地方。或者,如果他们有2个Gmail帐户并注销一个帐户以检查其他帐户中的邮件,该怎么办? Bam,他们退出了所有其他网站。我想不是:-)
当用户使用第三方凭据提供程序“登录”到某个站点时,如果他们愿意,仍然有责任注销这两个站点。